27 октября, вторник 00:40
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Аудит IT-систем и подразделенийV

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Klёn матчасть нужно штудировать с начала, а не "потом"
    иначе наработаете тако-оо-го!
    DenM, CIA

    Модератор форумов

    Комментарий


    • Хэванс_До Ещё какие модные...
      Соглашусь.

      А еще лучше устроить проверку работы по вопросам ИТ на запасной территории. Если стихийное масштабное бедствие в банке - вряд ли его можно быстро ликвидировать, необходим выезд для работы в безопасное место. ИМХО.
      У меня мало времени и много работы © .

      Комментарий


      • Сообщение от Lady Winter Посмотреть сообщение
        Хэванс_До Ещё какие модные...
        Соглашусь.

        А еще лучше устроить проверку работы по вопросам ИТ на запасной территории. Если стихийное масштабное бедствие в банке - вряд ли его можно быстро ликвидировать, необходим выезд для работы в безопасное место. ИМХО.
        Абсолютно правильно! Правда дорого это...
        Удача любит подготовленный разум...

        Комментарий


        • Lady Winter Если стихийное масштабное бедствие в банке - вряд ли его можно быстро ликвидировать, необходим выезд для работы в безопасное место на метро. С сервером в руках. Га-га-га. Но мысль правильная.
          С уважением, Антон

          Комментарий


          • Сообщение от Demin Посмотреть сообщение
            Lady Winter Если стихийное масштабное бедствие в банке - вряд ли его можно быстро ликвидировать, необходим выезд для работы в безопасное место на метро. С сервером в руках. Га-га-га. Но мысль правильная.
            Ни с каким ни с сервером. На резервном сайте (читай безопасное место) уже будут стоять готовые рабочие сервера под парАми, с функционирующими основными системами и актуальными данными.
            Удача любит подготовленный разум...

            Комментарий


            • Хэванс_До Я все понимаю, но... далеко не все кредитные организации могут себе позволить подобную роскошь...
              С уважением, Антон

              Комментарий


              • Сообщение от Nuri Посмотреть сообщение
                Attila

                ЦБ видимо хочет от вас "Проверку планов действий на случай возникновения непредвиденных обстоятельств в части их выполнимости"
                да это ж ни как не проверить. Мне надо сервер взломать или пожар в серверной устроить? Вот задача то...

                Demin что значит БУРС?
                Мы проводили испытания в части восстановления БД из резервной копии и запуск работы на резервном сервере.
                Бухгалтер формировал некоторый набор отчетных форм по состоянию на начало дня. После этого говорилось, что вот дескать, блин, сломался нафиг сервер.... Винты не снять, ничего сделать с текущей базой нельзя. Восстанавливайте из резервной копии с лент на резервный сервак. Засекалось время. С лент копировались последние резервные копии баз и восставнавливались на резервном сервере. После этого бухгалтер формировал отчетность на ту же дату. Проводили несколько операций, чтобы убедиться, что все правильно работает. Оценивали результат.
                Остальные варианты отказа пока не тестировали.

                Комментарий


                • Сообщение от Demin Посмотреть сообщение
                  Хэванс_До Я все понимаю, но... далеко не все кредитные организации могут себе позволить подобную роскошь...
                  Вы ведь аудитор и понимаете, что вопрос не в том, может банк себе позволить подобную роскошь или нет. Вопрос в том, как менеджмент оценил данные риски и как решил "to mitigate them". Возможно для Вашего или любого другого банка, риск отказа в функционировании информационных систем и отсутствие в связи с этим возможности осуществлять свою основную деятельность - есть риск небольшой. Я вполне это допускаю. Тогда Вам все эти меры и не нужны. Но тут возникает другой вопрос, на сколько правильно оценены эти риски менеджментом. Вот тут Вы и должны, как аудитор, вмешаться и донести свою точку зрения до руководства или, если это не поможет то и до аудиторского комитета или акционеров! :-)
                  Удача любит подготовленный разум...

                  Комментарий


                  • Сообщение от Alarich Посмотреть сообщение
                    Мы проводили испытания в части восстановления БД из резервной копии и запуск работы на резервном сервере.
                    Бухгалтер формировал некоторый набор отчетных форм по состоянию на начало дня. После этого говорилось, что вот дескать, блин, сломался нафиг сервер.... Винты не снять, ничего сделать с текущей базой нельзя. Восстанавливайте из резервной копии с лент на резервный сервак. Засекалось время. С лент копировались последние резервные копии баз и восставнавливались на резервном сервере. После этого бухгалтер формировал отчетность на ту же дату. Проводили несколько операций, чтобы убедиться, что все правильно работает. Оценивали результат.
                    Остальные варианты отказа пока не тестировали.
                    Хороший, кстати, тест.
                    Удача любит подготовленный разум...

                    Комментарий


                    • Хэванс_До Вы во всем правы, кроме одного - я не аудитор. Я, так сказать, автоматизацию курирую.
                      С уважением, Антон

                      Комментарий


                      • Demin автоматизацию курирую. курируете - т.е. контролируете. значит, хорошо бы для повышения эффективности прислушаться к голосу аудитора
                        DenM, CIA

                        Модератор форумов

                        Комментарий


                        • DenM хорошо бы для повышения эффективности прислушаться к голосу аудитора Вот пусть меня проаудитят, тогда по акту и буду прислушиваться.
                          С уважением, Антон

                          Комментарий


                          • Сообщение от Demin Посмотреть сообщение
                            Хэванс_До Вы во всем правы, кроме одного - я не аудитор. Я, так сказать, автоматизацию курирую.
                            "Курирую" - не совсем понятно... Вы руководитель IT? Если так, то Вы собственно и ответственны за систему внутреннего контроля внутри подразделения IT. Однако, одному Вам такую задачу решить не по силам. В данном случае, обязательно участие бизнеса. Можете посмотреть таблицу RACI соответствующего домена 4-го COBIT.
                            Сейчас меня понесёт.... останавливайте....
                            Удача любит подготовленный разум...

                            Комментарий


                            • Хэванс_До Если так, то Вы собственно и ответственны за систему внутреннего контроля внутри подразделения IT. Такого у меня в должностных нет.
                              останавливайте Тормози! Тормози!
                              С уважением, Антон

                              Комментарий


                              • Сообщение от Demin Посмотреть сообщение
                                Хэванс_До Если так, то Вы собственно и ответственны за систему внутреннего контроля внутри подразделения IT. Такого у меня в должностных нет.
                                останавливайте Тормози! Тормози!
                                Ну, что могу сказать... А ВА или СВК у Вас есть? Чем они тогда занимаются-то?!?!? Вы им COSO подсуньте...
                                Удача любит подготовленный разум...

                                Комментарий


                                • Хэванс_До СВК у Вас есть? есть. Чем они тогда занимаются-то? План выполняют. Плановые проверки. Еще руки не дошли до АСУ. Вы им COSO подсуньте... Фигушки, пусть сами ищут.
                                  С уважением, Антон

                                  Комментарий


                                  • Сообщение от Demin Посмотреть сообщение
                                    Хэванс_До СВК у Вас есть? есть. Чем они тогда занимаются-то? План выполняют. Плановые проверки. Еще руки не дошли до АСУ. Вы им COSO подсуньте... Фигушки, пусть сами ищут.
                                    У меня сразу возникает 2 вопроса:
                                    - Как же это они смогли не дойти до АСУ-то? У вас что всё вручную делается????
                                    - Создание BCP и DRP - не есть задача только IT, неужели бизнес Вам ни разу не задавал вопрос о надёжности функционирования систем, которыми они пользуются?
                                    Хмммм... если так, то у Вас есть возможность всё поправить. Инициируйте сами этот процесс, определите вместе с бизнесом критичные для них системы, создайте соответствующие SLA по организации бесперибойной работы этих систем и тяните с бизнеса соответствующую денежку! :-)
                                    У Вас вообще как с SLA?
                                    Удача любит подготовленный разум...

                                    Комментарий


                                    • Еще руки не дошли до АСУ Я ж говорю, что IT риски не "модные"...
                                      Я ловлю осень на губах снегом...

                                      Комментарий


                                      • Хэванс_До Как же это они смогли не дойти до АСУ-то? Пока не дошли. Всему свое время.
                                        у Вас есть возможность всё поправить. А у меня что-то неправильно?
                                        Инициируйте сами этот процесс, определите вместе с бизнесом критичные для них системы, создайте соответствующие SLA по организации бесперибойной работы этих систем и тяните с бизнеса соответствующую денежку! Вот я об этом и говорил выше.
                                        У Вас вообще как с SLA? Вы имеете в виду Service Level Agreement?
                                        С уважением, Антон

                                        Комментарий


                                        • Сообщение от Demin Посмотреть сообщение
                                          Хэванс_До Как же это они смогли не дойти до АСУ-то? Пока не дошли. Всему свое время.
                                          у Вас есть возможность всё поправить. А у меня что-то неправильно?
                                          Инициируйте сами этот процесс, определите вместе с бизнесом критичные для них системы, создайте соответствующие SLA по организации бесперибойной работы этих систем и тяните с бизнеса соответствующую денежку! Вот я об этом и говорил выше.
                                          У Вас вообще как с SLA? Вы имеете в виду Service Level Agreement?
                                          Понять правильно у Вас или нет, можно только проведя независимую оценку, аудит.
                                          Про "тяните денежку", я имею ввиду несколько другое. Тянуть денежку с бизнеса можно только если они сами понимают, за уменьшение каких рисков они платят. Т.е. идея в том, чтобы не Вы им навязывали создание DRP, а они сами были в этом заинтересованы. Но для этого Вы, должны провести соответствующую подготовительную работу, в том числе и помочь им оценить риски. Ну, и аудит вам также в помощь.
                                          Да, я именно эти SLA и имею в виду.
                                          Удача любит подготовленный разум...

                                          Комментарий


                                          • Хэванс_До Тянуть денежку с бизнеса можно только если они сами понимают, за уменьшение каких рисков они платят. Т.е. идея в том, чтобы не Вы им навязывали создание DRP, а они сами были в этом заинтересованы. Но для этого Вы, должны провести соответствующую подготовительную работу, в том числе и помочь им оценить риски. Ну, и аудит вам также в помощь. Ну, свои риски я и так прекрасно осознаю. Бизнесу этого достаточно.
                                            С уважением, Антон

                                            Комментарий


                                            • Сообщение от Demin Посмотреть сообщение
                                              Хэванс_До Тянуть денежку с бизнеса можно только если они сами понимают, за уменьшение каких рисков они платят. Т.е. идея в том, чтобы не Вы им навязывали создание DRP, а они сами были в этом заинтересованы. Но для этого Вы, должны провести соответствующую подготовительную работу, в том числе и помочь им оценить риски. Ну, и аудит вам также в помощь. Ну, свои риски я и так прекрасно осознаю. Бизнесу этого достаточно.
                                              Это ошибка. Бизнесу этого недостаточно. Сие есть беда, так как обычно IT в банке или любой другой конторе - есть "вещь в себе". Никто не понимает, что они делают, как они это делают, на сколько это безопасно и эффективно и на сколько оправданы текущие затраты на IT. Отсюда и все проблемы. Здесь как раз и помогает функция внутреннего аудита, который:
                                              - оценивает деятельность IT на предмет соответствия направления деятельности этого подразделения общей стратегии банка.
                                              - даёт рекомендации по улучшению
                                              - становится неким связующим звеном между бизнесом и IT.
                                              Это первое.
                                              А вот и второе: Это хорошо, что Вы знаете свои риски. Но риски, о которых мы здесь говорим, относятся к бизнесу и поэтому именно бизнес должен их оценить.
                                              P.S. Лучшей связкой бизнеса и IT как раз и является SLA.
                                              Удача любит подготовленный разум...

                                              Комментарий


                                              • Хэванс_До Здесь как раз и помогает функция внутреннего аудита, который:
                                                - оценивает деятельность IT на предмет соответствия направления деятельности этого подразделения общей стратегии банка.
                                                - даёт рекомендации по улучшению
                                                - становится неким связующим звеном между бизнесом и IT.

                                                Что применимо к крупным кредитным организациям.
                                                С уважением, Антон

                                                Комментарий


                                                • Может кому-нить пригодится этот материал (под Новый Год)
                                                  Чай не пьёшь - какой работа? А попьёшь ТАК спать охота!

                                                  Комментарий


                                                  • Привет!
                                                    Поделитесь, пожалуйста, тескстами Стандартов и рекомендаций Банка России в области информационной безопасности, которые были введены в действие с 1 мая 2007 года:
                                                    СТО БР ИББС-1.1-2007
                                                    СТО БР ИББС-1.2-2007
                                                    РС БР ИББС-2.1-2007
                                                    РС БР ИББС-2.0-2007.
                                                    Как у кого вообще обстоят дела с соответствием внутренних документов и процедур в области информ.безопасности стандартам БР?
                                                    Заранее благодарю

                                                    Комментарий


                                                    • Tak_iNi А N инструкции какой?

                                                      Комментарий


                                                      • http://www.budgetrf.ru/Publications/...181435_000.htm
                                                        Распоряжения Банка России:
                                                        Р-345 от 28.04.2007
                                                        Р-346 от 28.04.2007
                                                        Р-347 от 28.04.2007
                                                        Р-348 от 28.04.2007
                                                        Последний раз редактировалось Gellon; 04.07.2007, 13:09. Причина: дополненить ответ

                                                        Комментарий


                                                        • Gellon если это творчество не утверждено Минюстом почему они с нас что то требуют?

                                                          Комментарий


                                                          • 3.3. Рекомендуется, чтобы положения документов по обеспечению ИБ организации БС РФ:

                                                            — носили не рекомендательный, а обязательный характер;




                                                            Tak_iNi Как у кого вообще обстоят дела с соответствием внутренних документов и процедур в области информ.безопасности стандартам БР?
                                                            Заранее благодарю
                                                            Мучительно разрабатываем.
                                                            С уважением, Антон

                                                            Комментарий


                                                            • Demin а если положить на полку?
                                                              По-моему это наглость- требовать по внтренней указивке что-либо с банков... беспредел и отсутствие правового поля.

                                                              Комментарий

                                                              Обработка...
                                                              X